куар код чем опасен
QR-код, да не тот
Рассказываем, как не попасться на удочку киберпреступников при сканировании QR-кодов.
QR-коды есть на йогурте и музейной табличке, квитанции за коммунальные услуги и лотерейном билете. С их помощью открывают сайты, скачивают приложения, копят бонусы в программах лояльности, отправляют денежные переводы и даже просят милостыню. Эта доступная и практичная технология понравилась многим — и, как это часто бывает, киберпреступникам тоже: они уже вовсю применяют QR-коды в своих схемах. Рассказываем, что может пойти не так с черно-белыми квадратами и как их использовать без вреда для себя.
Что такое QR-коды и как ими пользоваться
В наше время смартфон есть уже почти у всех. Во многих современных моделях есть встроенный QR-сканер. На остальные можно скачать приложение — для чтения всех кодов вообще или какое-нибудь специализированное, например — разработанное музеем.
Если включить QR-сканер и навести камеру телефона на код, запустится некий процесс. Чаще всего смартфон предложит вам перейти на тот или иной сайт или откроет страницу определенного приложения в магазине. Есть и другие варианты, о них — чуть позже.
Специализированные сканеры отличаются от собратьев тем, что лучше «работают в паре» со «своими» QR-кодами. Допустим, вы видите табличку перед выдающимся деревом в парке, и на ней есть квадрат QR. Если вы загрузили себе официальное приложение этого парка, QR-коды на таких табличках превратятся для вас в цельную экскурсию, а стандартный сканер, распознав их, просто предложит перейти на сайт парка и прочесть описание каждого экспоната на отдельной странице.
Кроме того, некоторые приложения могут создавать QR-коды, чтобы передать тому, кто их отсканирует, какую-то вашу информацию — например, имя и пароль вашей сети Wi-Fi или даже платежные реквизиты счета в банке.
Как киберпреступники используют QR-коды
Что может пойти не так, спросите вы? Очень и очень многое. Поскольку содержимое QR-кода обычному человеку не понять, фактически мы полагаемся на честность тех, кто загружает в них информацию. Мы не можем заранее проверить, что произойдет, когда мы отсканируем заветный квадрат, — или что именно на самом деле записало туда приложение, в котором мы создавали свой квадрат. Это открывает массу возможностей для злоупотребления.
Фальшивые ссылки
Так, созданный преступниками QR-код может привести вас на фишинговый сайт, имитирующий, например, страницу входа в социальную сеть или личный кабинет в банке, чтобы вы ввели там свои данные на радость преступникам. Обычно мы советуем смотреть на ссылку, прежде чем переходить по ней, — но в самом QR-коде шанса заметить странные символы нет, а для пущей надежности злоумышленники часто используют короткие ссылки — так сложнее распознать подделку, когда смартфон просит подтвердить переход.
Похожая схема существует и с QR-кодами для быстрой загрузки приложений. Вместо игры или полезного сервиса, которые вы ожидаете получить при взгляде на рекламный плакат, есть шанс скачать зловред, который позже, например, украдет ваши пароли или начнет рассылать что-нибудь непотребное вашим контактам.
Закодированные в QR-коде команды
Но и это не все: QR-код может служить не только ссылкой на сайт, но и командой для выполнения определенных действий. Вот лишь неполный их список:
Все это задумывалось для автоматизации мелких действий. Например, считав QR-код, можно добавить в телефонную книгу всю контактную информацию с визитки, отправить сообщение об оплате парковки по нужному шаблону или выдать доступ к гостевому Wi-Fi.
Но эти же возможности делают QR-код эффективным средством для незаметных манипуляций. Например, мошенники могут внести в адресную книгу свой номер под именем «Банк», чтобы придать вес звонку с попыткой выманить ваши деньги. Или, например, позвонить на платный номер за ваш счет. Или узнать, где вы находитесь… Малоприятные перспективы.
Как киберпреступники маскируют QR-коды
Безусловно, для того чтобы злоумышленники вам навредили, им нужно, чтобы вы отсканировали именно их QR-коды. И для этого у них есть пара любимых приемов.
Мошеннические источники QR-кодов. Чаще всего к этому способу прибегают, чтобы убедить жертву скачать зловредное приложение. Его создатели могут разместить QR-код со ссылкой на свое детище на сайте, в баннере, электронном письме или даже на бумажном объявлении. Часто рядом для большей достоверности размещают логотипы Google Play или App Store.
Подмена QR-кода. Нередко злоумышленники пользуются чужим трудом и репутацией и просто заклеивают настоящий QR-код на плакате или табличке подложным.
Кстати, подменой QR-кодов в последнее время стали пользоваться не только киберпреступники, но и беспринципные активисты общественных течений — для распространения своих идей. В Австралии недавно был арестован мужчина, который переклеил несколько QR-кодов на табличках службы по контролю за COVID-19, чтобы вместо сервиса для записи посетителей общественных мест люди попадали на сайт с агитацией антипрививочников.
QR-код, в который запакованы банковские реквизиты, можно подменить при его отправке будущему плательщику — например, распечатав и разложив по почтовым ящикам фальшивые квитанции на оплату коммунальных услуг. Вместо настоящего получателя деньги придут на счет злоумышленника.
Как не попасть в беду с QR-кодом
Чтобы не стать жертвой киберпреступников, при использовании QR-кодов соблюдайте несколько простых правил:
Также стоит помнить о еще одной опасности, связанной с QR-кодами: злоумышленники могут воровать коды, в которые зашита какая-то ценная информация — например, номер электронного билета. Поэтому не стоит публиковать в соцсетях документы с QR-кодами или их фотографии.
Зачем нужен QR-код после прививки от коронавируса
Москва, 21.09.2021, 11:15:41, редакция FTimes.ru, автор Степан Гафтко.
QR-код в Москве будут выдавать гражданам, которые уже прошли вакцинацию. С помощью такого кода люди смогут посещать разные мероприятия и общественные заведения. Но как его получить, как им пользоваться, и есть ли угроза человеческому здоровью?
Когда начнут пускать по кодам, и что это такое
Уже с 28 июня в места общественного питания и на другие мероприятия будут пускать только людей, у которых в наличии будет QR-код. Если человек до 25 июня получил такой код на сайте Государственных услуг, то он также действовал и был, так сказать, рабочим и с его помощью можно будет пройти в рестораны и в другие учреждения.
Такой код может получить человек для того, чтобы посетить места общественного питания и мероприятия, где собрано не более 500 человек. Это своеобразное разрешение и гарантия того, то гражданин Российской Федерации уже не сможет заразить коронавирусной инфекцией остальных.
Кто получит QR-код
Чтобы получить соответствующее разрешение — QR-код, человеку необходимо пройти двойную вакцинацию, или быть привитым вакциной, которая имеет лицензию Российской Федерации. Коды получат только люди, у которых есть прививка вакциной, зарегистрированной в России.
Кроме того, код могут получить и люди, которые ранее переболели коронавирусной инфекцией, и у них прошло не более 180 дней с момента болезни. Но для подтверждения такого результата и получения кода необходимо, чтобы были соответствующие анализы и наличие антител у человека.
Третий вариант, когда можно получить QR-код – это наличие отрицательного ПЦР-теста, который был сделан в любой из лицензионной клинике Москвы. Когда вы получили результат такого теста, у вас есть три дня, чтобы зарегистрировать QR-код, так как по истечении трех дней эти анализы уже будут не актуальными.
QR-код будет единственным для всех заведений, и именно он будет использоваться при входе в места общественного питания. Жители Москвы, или те жители, которые переболели на коронавирус и имеют полис ОМС, могут получить QR-код даже после шести месяцев после того, как переболели.
Москвичи и люди, которые зарегистрированы в Москве, должны иметь специальные электронные учредительные книжки. Именно в этих книжках в разделе «Цифровой сертификат» граждане РФ могут увидеть, можно ли им получить QR-код. Можно обратиться и в поликлинику, где вам расскажут о возможности наличия кода.
Чем может быть опасен QR-код
В первую очередь, когда москвичи услышали о QR-коде, они начали беспокоиться о своей безопасности. Ведь в таком случае гражданам надо будет предоставлять все свои данные. Некоторые москвичи переживают, что таким образом у властей будет намного больше база со всеми данными, которые в любой момент можно будет использовать против самых жителей Москвы.
Вообще, сегодня мало что известно о подобных кодах. Они не являются абсолютно безопасными. В каждом QR-коде будут данные москвича. А если это электронный вариант, то его легко могут взломать хакеры, или вредоносные программы. Ведь в таком коде будет содержаться вся информация о человеке, в том числе даже паспортные данные.
Мошенники, которые взломают QR-код человека, получат все данные о гражданине России. Таким образом, он сможет использовать эти ресурсы в неправомерных целях, например, взять кредит на имя человека, и пострадавший даже не будет знать об этом.
Такой код будет отображаться на экране телефона, и он будет содержать всю необходимую информацию. Но в нем не будет фотографии пользователя, так как, если бы надо было загружать столько данных, то код просто не поместился бы на экране телефона.
Сканировать QR имеют право полицейские и другие работники безопасности, но только после того, как предоставят свое удостоверение. Московские чиновники говорят, что QR-код значительно упростит ситуацию с карантином. У кого не будет подобного «удостоверения», тот будет лишен ряда разных услуг, и даже в кафе не сможет просто так зайти.
Люди пока неоднозначно относятся к таким кодам. Некоторые не хотят их заводить, так как считают, что нельзя заводить все свои данные в единственную базу. Но есть люди, которые считают, что такие коды помогут быстрее преодолеть карантин, и будут привлекать людей к вакцинации.
Опасные QR-коды – как защитить себя и смартфон от угрозы
Эти квадратные изображения можно увидеть везде: в рекламе, журналах и на плакатах. Можно сказать, что это самый простой и дешевый способ соединения двух миров – реального и виртуального. Сфотографируйте этот QR-код своим смартфоном, а специальное приложение перенаправит Вас на соответствующую страницу, сохранит контакты, свяжется по телефону или загрузит приложение.
QR-коды (англ. quick response – быстрая реакция) могут содержать много текстовой информации и/или ссылки на интернет-источники. Это решение стало невероятно популярным уже какое-то время назад в Азии, а сегодня мы наблюдаем, как получает признание в Европе и обеих Америках.
Их можно увидеть везде: на билбордах, товарах, выставленных на прилавках, сайтах, в различных билетах и купонах. список длинный. Однако, параллельно растет и рынок мошенничества с использованием технологии QR-код. Были случаи, когда оригинальные QR-коды были замены вредоносными. Эта практика имеет много общего с уже широко известным фишингом, поэтому была названа куаришинг.
Не нужно сильно напрягать воображение, чтобы увидеть, как опасны могут быть такие фальшивые QR-коды – тем более, что они могут быть размещены в публичных местах: метро, аэропорт, железнодорожный вокзал, банк или даже банкомат. Большинство людей по-прежнему верят рекламе и не в состоянии представить себе, что в здании популярного банка может присутствовать какая-то угроза.
Когда пользователь делает снимок QR-кода, на экране устройства отображается связанная с ним ссылка. Злоумышленник может с помощью сокращающего ссылки сайта (как например bit.ly) скрыть реальный адрес сайта. Таким образом, QR-код может привести пользователя, например, на вредоносную страницу, крадущую конфиденциальные данные входа в систему.
Ситуацию дополнительно осложняет тот факт, что мобильный браузер не всегда в состоянии отображать полный URL-адрес открываемой страницы. Попытка проверки, является ли страница надежной – это истинное мучение. Что ещё хуже, мобильные устройства часто не так хорошо защищены от вредоносного программного обеспечения.
В целях минимизации угроз этого типа, помните о трёх простых принципах:
Дополнительно можно установить на смартфон защищённый сканер QR-кодов, например, Kaspersky QR Scanner. Он предназначена как для устройств с операционной системой iOS, так и Android, и в обоих случаях обеспечивает эффективное сканирование и множество функций безопасности. Приложение работает, как и большинство других инструментов для сканирования QR-кодов, однако, кроме того, использует смарт-функции: мгновенная проверка ссылок, размещенных в кодах, а также уведомления о возможных угрозах на целевой странице.
QR-коды – удобные и опасные
Мозаичные картинки, QR-коды, упрощают открытие ссылок и приложений на смартфоне. Хакеры научились обманывать пользователей с помощью этого инструмента.
Обновлено 30 января 2015.
Характерные квадратные картинки, напечатанные на рекламе, в журналах и на объявлениях, оказались самым простым и дешевым способом связать реальный и виртуальный мир – достаточно сфотографировать QR-код камерой телефона, чтобы перейти на веб-сайт с информацией, сохранить контактный телефон или загрузить приложение. Эта простота понравилась не только маркетологам, но и хакерам всех мастей, поэтому, наводя камеру на QR-код, надо быть весьма осторожным.
QR-код (от английского «Quick Response» – «быстрый отклик») может содержать любую текстовую информацию и ссылки на интернет-источники. Он давно популярен в странах Азии и только теперь обретает широкую известность в странах Европы и Америке. Его можно встретить повсеместно: на рекламных плакатах, на продуктах в магазинах, на веб-сайтах для компьютеров, на купонах, билетах – список бесконечен. Одновременно становятся популярны и мошеннические схемы, связанные с ним. Например, все чаще находятся умельцы, аккуратно наклеивающие свой вредоносный QR-код поверх официального. Это явление получило название QRishing по аналогии с phishing.
QR-коды можно украшать, обычно это не мешает их распознаванию смартфоном.
Легко представить, как опасен такой QR-код, наклеенный в общественном месте – в метро, аэропорту, на вокзале или же в здании банка, например на банкомате. Жертва испытывает к рекламе доверие, поэтому обычно спокойно переходит по отсканированной ссылке. Ведь трудно вообразить, что в здании крупного банка может подстерегать опасность.
Итак, ссылка сначала выводится на экран смартфона, но злоумышленники используют сервисы сокращения ссылок (bit.ly и другие), чтобы замаскировать конечный адрес, сохраненный в QR-коде. А он может вести на страницу с вредоносным ПО, ворующим все логины и пароли, сохраненные в браузере, или же на фишинговый cайт. Дело осложняется еще тем, что в мобильном браузере не всегда можно увидеть полную адресную строку открытой страницы, что существенно затрудняет выявление обмана. А мобильные устройства зачастую хуже защищены от вирусов.
Чтобы избежать подобной угрозы, следуйте трем простым советам:
В конце января 2015 года появился более простой и удобный способ уберечься от вредоносных ссылок в QR-кодах — для этого достаточно установить на смартфон приложение Kaspersky QR Scanner.
Работает оно точно так же, как любое другое приложение для считывания QR-кодов. С той лишь разницей, что Kaspersky QR Scanner проверяет все содержащиеся в QR-кодах ссылки и обязательно предупредит вас, если переход по ссылке грозит опасностями.
Апокалиптические QR-коды: Власть пошла против закона?
Административное рвение команды Собянина плодит антиконституционные предложения. Комендантский час, ограничение передвижения, слежка за гражданами создают дополнительную нервозность. Она накладывается ненужным психологическим грузом на и без того сложную чрезвычайную ситуацию в стране
Наша законодательная база отстаёт от развивающейся ситуации и спешно реформируется. На сегодня у нас есть оперативный штаб при Госсовете, который возглавляет мэр Москвы Собянин, и есть новый премьер-министр Мишустин, у которого свой штаб. Два штаба на одну страну слишком много. Психология наших граждан, нравится это кому-то или нет, воспринимает только единоначалие как естественное управление.
Стране сегодня нужна определённость. Если мы находимся внутри действительно опасной эпидемии, то все мы – все вместе с нашей страной – попали в чрезвычайную ситуацию. А у чрезвычайной ситуации есть свои правовые рамки, которые теперь может вводить правительство своей властью.
Любое ограничение прав должно быть основано на федеральном законе: 31 марта 2020 года Федеральное Собрание РФ спешно откорректировало старый, 1994 года закон «О защите населения и территорий от чрезвычайных ситуаций природного и техногенного характера». Мишустин и его министры получили возможность оперативно реагировать на развитие чрезвычайной ситуации, сложившейся в связи с распространением коронавируса. Правительству даются полномочия принимать решения об «осуществлении им полномочий координационного органа единой государственной системы предупреждения и ликвидации чрезвычайных ситуаций».
Ответственность за координацию в таких ситуациях всё время у нас плавала от министра ЧС к правительству и обратно. Наконец, при серьёзной эпидемии ответственность вернули Правительству РФ. Это правильно.
Мишустин и его министры получили возможность оперативно реагировать на развитие чрезвычайной ситуации, сложившейся в связи с распространением коронавируса. Фото: government.ru
Теперь необходимо позаботиться о преодолении правовых противоречий между законами, в спешке принятыми в субъектах Федерации, и статьями Конституции. Ведь ни один местный закон не может ущемлять права и свободы граждан России. Ограничивать их может только федеральный закон. Но и он должен соответствовать статье 55 Конституции, которая гласит, что «права и свободы человека и гражданина могут быть ограничены федеральным законом только в той мере, в какой это необходимо в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства» (пункт 3).
Мы все законопослушные граждане и готовы нести все тяготы сложившейся чрезвычайной ситуации. Но все ограничения должны соответствовать правовому режиму, который действует.
Если чрезвычайное положение не введено в нашей стране, то откуда такие декларируемые ограничения? Режим повышенной готовности, санкционированный мэром Собяниным, по своему правовому наполнению не предполагает ни комендантского часа, ни ограничения посещения религиозных собраний, ни введения системы слежения за гражданами с некими QR-кодами, ни запретом на передвижения по городу.
Здесь многое перевёрнуто с ног на голову. Сначала нужно ввести особый чрезвычайный режим с определёнными обязанностями для граждан, а уже потом можно их дополнять местными требованиями о необходимости выполнения установленных правил поведения при введении режима повышенной готовности. И не путать ограничения, вводимые федеральной властью, с правовыми желаниями и служебным рвением местных руководителей субъектов Федерации.
Ограничения граждан неконституционны
Пока в стране не введено чрезвычайное положение, не может быть никакого комендантского часа, никаких ограничений по передвижению. При режиме повышенной готовности, на введение которого мэр города имеет право, не предусмотрено никак запретов на передвижения горожан.
Поэтому положения Указа мэра г. Москвы от 29 марта 2020 г. № 34-УМ «О внесении изменений в указ мэра Москвы от 5 марта 2020 г. № 12-УМ» требуют уточнения.
Сергей Собянин посетил кол-центр оперативного штаба депздрава по контролю и мониторингу ситуации с коронавирусом. Фото: Александр Авилов / АГН «Москва»
Надо не забывать, что «регулирование и защита прав и свобод человека и гражданина» (статья 71 пункт в) в нашей Конституции относится к исключительному ведению федеральной власти. К совместному же с субъектами (статья 72 пункт б) ведению относится только «защита», но не «регулирование».
Нам могут сказать, что московские власти нас хотели «защитить». Но разве мы нуждаемся в каких-то новых QR-кодах и слежке за нами? Нет, эти меры не являются ни медицинскими, ни карантинными. Они покушаются на нашу свободу как граждан РФ и не имеют на то ни полномочий, ни нашего разрешения.
Об ограничении в передвижении
Ещё раз повторим, что как законопослушные граждане мы понимаем всю ответственность за чрезвычайную ситуацию, в которую попала наша страна и её граждане. Но по Федеральному закону «О защите населения и территорий от чрезвычайных ситуаций природного и техногенного характера» (1994) при введении режима повышенной готовности не предусмотрено никаких ограничений по передвижению по городу. Может быть введено лишь ограничение доступа людей и транспортных средств на территорию Москвы. То есть могут быть ограничены не передвижения горожан внутри города, а только въезд в город транспорта или вход в него других граждан.
В случае развития ситуации местные власти могут организовать эвакуацию населения. Команда Собянина зачем-то решила взять на себя функции, возложенные нашими законами на федеральные власти.
Банковская тайна и биллинг сотовых операторов
Не менее странно и анонсированное отслеживание банковских операций граждан, совершённых на удалении от места проживания. Граждане не давали московским властям согласия на такое разглашение своих банковских тайн. Тем более странно будут смотреться и какие-либо наказания за такие покупки.
В нашей стране существует тайна связи. Фото: Софья Сандурская / АГН «Москва»
Не соответствует Федеральному закону «О связи» (2003), статье 63, и использование биллинга сотовых операторов. В нашей стране существует тайна связи, и доступ к подобной информации имеют только правоохранительные органы, когда ловят преступников. Наши граждане не преступники и имеют право на сохранение своей конфиденциальной информации.
Зачем вообще подобная информация московским властям? Она совершенно избыточна при борьбе с коронавирусом.
Апокалиптические QR-коды
Мы подошли, быть может, к самому чувствительному месту для верующих людей. Московские власти предлагают ввести некие разрешения на перемещение с вводом QR-кодов.
Зачем тратить очередные миллиарды в ситуации экономического кризиса? Эпидемия пройдёт, а кризис-то только усилится. Неужели некуда будет деть эти «лишние» миллиарды? А куда девать те сотни тысяч людей, у которых нет смартфонов? Или тех, кто не захочет иметь дело с очередным неоправданным никакими медицинскими нуждами или чрезвычайными ситуациями цифровым контролем? Или тех, кто не сможет освоить эти современные технологии?
Да и останется ли этот контроль временным – только на время эпидемии? Не захотят ли московские власти распространить цифровой контроль и на не чрезвычайное, обыденное, послевирусное время? На все эти вопросы нет внятных ответов. Зато уже есть определённые страхи и недовольства.
Если эти данные, как говорят, ещё и будут храниться за рубежом, на удалённых серверах иностранных компаний, то это вообще антиконституционно. Российское законодательство требует обязательного хранения персональных данных граждан РФ на серверах в России.
Все эти административные «новации» по меньшей мере противоречивы. И всех их можно избежать введением режима чрезвычайной ситуации. Понятно организованного и законно введённого.
Хотя, конечно, федеральную власть можно легко понять. Вводя режим чрезвычайной ситуации, она попадёт под очередной шквал оппозиционных обвинений во всех смертных грехах. Но тогда надо сдерживать ретивое администрирование местных руководителей, не давая им выходить из правового поля своей компетенции. В сложившейся непростой ситуации нам нужно прежде всего спокойствие. Его надо ценить власти и отметать всё, его подрывающее.